<<< JPCERT/CC WEEKLY REPORT 2011-06-29 >>>
■06/19(日)〜06/25(土) のセキュリティ関連情報
目 次
【1】Mac OS X に複数の脆弱性
【2】Mozilla 製品群に複数の脆弱性
【3】LibreOffice に複数の脆弱性
【4】Blue Coat ProxySG に脆弱性
【5】WeblyGo にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Firefox の高速リリースサイクルについて
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr112401.txt
https://www.jpcert.or.jp/wr/2011/wr112401.xml
【1】Mac OS X に複数の脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases Security Updates to Address Multiple Vulnerabilities
http://www.us-cert.gov/current/archive/2011/06/24/archive.html#apple_releases_security_updates_to3
概要
Mac OS X および Mac OS X Server には、複数の脆弱性があります。結 果として、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Mac OS X v10.6 から v10.6.7 まで - Mac OS X Server v10.6 から v10.6.7 まで - Mac OS X v10.5.8 - Mac OS X Server v10.5.8 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#976710
Apple Mac OS X における脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU976710/index.html
関連文書 (英語)
Apple Support HT4723
About the security content of Mac OS X v10.6.8 and Security Update 2011-004
http://support.apple.com/kb/HT4723?viewlocale=en_US
【2】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Mozilla Releases Firefox 5 and 3.6.18
http://www.us-cert.gov/current/archive/2011/06/24/archive.html#mozilla_releases_firefox_5_and
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、機密情報を取得したり、ユーザのブ ラウザ上で任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 4.0.1 およびそれ以前 - Firefox 3.6.17 およびそれ以前 - Thunderbird 3.1.10 およびそれ以前 - SeaMonkey 2.0.14 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。2011年6月 28日現在、本脆弱性に対する SeaMonkey の修正バージョンはリリース されていません。 なお、Mozilla によると、Firefox 4 以降のバージョンでは高速リリー スサイクルへ移行したため、セキュリティアップデートのみのバージョ ンを公開する予定はなく、Firefox 5 への更新を推奨しています。詳細 については、Mozilla が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Firefox リリースノート - バージョン 5.0 - 2011/06/21 リリース
http://mozilla.jp/firefox/5.0/releasenotes/Firefox 5.0 セキュリティアドバイザリ
Firefox 5 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox5Mozilla Japan
Firefox リリースノート - バージョン 3.6.18 - 2011/06/21 リリース
http://mozilla.jp/firefox/3.6.18/releasenotes/Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.18 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.18Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.11 - 2011/06/21 リリース
http://mozilla.jp/thunderbird/3.1.11/releasenotes/Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.11 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.11SeaMonkey-ja Project
SeaMonkey 2.1 (2011/6/10)
http://www.seamonkey.jp/Mozilla Japan ブログ
Firefox と Thunderbird のセキュリティアップデートを公開しました
http://mozilla.jp/blog/entry/6916/Mozilla Japan
高速リリースサイクルに関するよくある質問
http://mozilla.jp/firefox/preview/faq/
【3】LibreOffice に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#953183
LibreOffice 3.3 'Lotus Word Pro' document import filter contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/953183
概要
LibreOffice には、Lotus Word Pro (.lwp) ファイルの処理に起因する 複数の脆弱性があります。結果として、第三者が細工した .lwp ファイ ルを開かせることで、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - LibreOffice 3.3.2 およびそれ以前 この問題は、ベンダが提供する修正済みのバージョンに LibreOffice を更新することで解決します。詳細については、ベンダが提供する情報 を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#953183
LibreOffice に複数の脆弱性
https://jvn.jp/cert/JVNVU953183/index.htmlLibreOffice
LibreOffice 3.3.3 がダウンロードできるようになりました
http://nabble.documentfoundation.org/LibreOffice-3-3-3-td3082171.html
関連文書 (英語)
LibreOffice
LibreOffice 3.3.3 Final (2011-06-16)
http://www.libreoffice.org/download/
【4】Blue Coat ProxySG に脆弱性
情報源
DOE-CIRC Technical Bulletin T-651
Blue Coat ProxySG Discloses Potentially Sensitive Information in Core Files
http://www.doecirc.energy.gov/bulletins/t-651.shtml
概要
Blue Coat ProxySG には、脆弱性があります。結果として、ローカル ユーザが機密情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - ProxySG 6.1 および 6.2 この問題は、Blue Coat が提供する修正済みのバージョンに ProxySG を更新することで解決します。詳細については、Blue Coat が提供する 情報を参照してください。
関連文書 (日本語)
Blue Coat Systems
Blue Coat ProxySG
http://www.bluecoat.co.jp/products/sg/NEC
Blue Coat ProxySGシリーズ
http://www.nec.co.jp/datanet/bluecoat/Hitachi Solutions
Blue Coat Systems Products - ProxySG 製品概要
http://www.hitachi-system.co.jp/bluecoat/sp/proxysg/outline/outline.htmlFUJITSU SOCIAL SCIENCE LABORATORY LIMITED
Proxy SGシリーズ(Proxy SG Full Proxy Edition)
http://www.ssl.fujitsu.com/products/network/netproducts/bluecoat/#sgMacnica Networks
Blue Coat ProxySG/AV Full Proxy Edition
http://www.macnica.net/bluecoat/proxy.html/
関連文書 (英語)
Blue Coat Security Advisories SA56
June 17, 2011 - Sensitive information in ProxySG core files
https://kb.bluecoat.com/index?page=content&id=SA56&cat=PROXYSG&actp=LIST
【5】WeblyGo にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#43386477
WeblyGo におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN43386477/index.html
概要
カワイビジネスソフトウエアのグループウェア WeblyGo には、クロス サイトスクリプティングの脆弱性があります。結果として、遠隔の第三 者がユーザのブラウザ上で任意のスクリプトを実行する可能性がありま す。 対象となるバージョンは以下の通りです。 - WeblyGo V5.0 Pro/LE - WeblyGo V5.02 Pro/LE - WeblyGo V5.03 Pro/LE - WeblyGo V5.04 Pro/LE - WeblyGo V5.10 Pro/LE この問題は、ベンダが提供する修正済みのバージョンに WeblyGo を更 新することで解決します。詳細については、ベンダが提供する情報を参 照してください。
関連文書 (日本語)
カワイビジネスソフトウエア
[重要] WeblyGo V5 脆弱性対応アップデート(V5.20)
http://www.kbs.co.jp/jp/tabid/254/Default.aspx
■今週のひとくちメモ
○Firefox の高速リリースサイクルについて
2011年6月21日 Firefox 5.0 がリリースされました。機能追加、パフォー マンスの強化と併せていくつかのセキュリティの問題に関する修正が含 まれています。 Mozilla は Firefox 4 以降、リリースサイクルを大幅に変更し、高速リ リースサイクルへ移行しました。Firefox 4 以降は、セキュリティアッ プデートのみのバージョンを公開する予定はなく、より頻繁に新バージョ ンを公開すると発表しています。今後は、基本的に 6週間ごとに新バー ジョンを公開するということです。
参考文献 (日本語)
Mozilla Firefox
高速リリースサイクルに関するよくある質問
http://mozilla.jp/firefox/preview/faq/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/